Исследователи из PCA Cyber Security (ранее PCAutomotive), специализирующейся на тестировании на проникновение и анализе угроз, обнаружили серьёзные уязвимости в стеке Bluetooth BlueSDK, разработанном OpenSynergy. Уязвимости могут быть использованы для удалённого взлома миллионов автомобилей.
Анализ BlueSDK выявил несколько уязвимостей, позволяющих выполнять удалённый код, обходить системы безопасности и похищать данные. Комбинируя эти уязвимости, специалисты PCA продемонстрировали атаку под названием PerfektBlue, которая позволяет получить доступ к информационно-развлекательной системе автомобиля.
Атака даёт злоумышленнику возможность отслеживать местоположение автомобиля, записывать звук из салона и получать доступ к телефонной книге водителя. Более того, при определённых условиях возможен доступ к другим системам, включая управление рулём, сигналом и стеклоочистителями — хотя это пока не доказано в рамках текущего исследования.
PerfektBlue была успешно протестирована на новых моделях информационно-развлекательных систем автомобилей Mercedes-Benz, Skoda, Volkswagen, а также на продукции одного неназванного автопроизводителя.
BlueSDK используется в миллионах устройств, включая не только автомобили, но и смартфоны и другие гаджеты от ведущих производителей. Для атаки злоумышленнику нужно находиться рядом с целью и иметь возможность подключиться к системе по Bluetooth. В ряде случаев это возможно без подтверждения пользователя.
Уязвимости были переданы OpenSynergy в мае 2024 года и получили CVE-идентификаторы: CVE-2024-45431, CVE-2024-45432, CVE-2024-45433 и CVE-2024-45434. Исправления начали распространяться с сентября 2024 года. PCA Cyber Security раскрыла детали только сейчас, чтобы обеспечить максимальное распространение обновлений.
